Một lỗ hổng nghiêm trọng đã được công bố trong Kubernetes Image Builder, cho phép kẻ tấn công giành quyền truy cập root trên các node Windows. Lỗ hổng này khai thác các thông tin xác thực mặc định được nhúng trong các image máy ảo.
Tổng quan về lỗ hổng
Lỗ hổng này được theo dõi dưới mã định danh CVE-2025-7342. Nó ảnh hưởng đến các image được xây dựng bằng cách sử dụng các nhà cung cấp Nutanix hoặc OVA trong Kubernetes Image Builder phiên bản v0.1.44 và các phiên bản cũ hơn.
Vấn đề cốt lõi phát sinh do công cụ xây dựng image không vô hiệu hóa thông tin xác thực quản trị viên mặc định của Windows khi người dùng không ghi đè chúng một cách rõ ràng trong quá trình xây dựng image.
Hệ quả là, bất kỳ cụm nào triển khai các node Windows từ các image chưa được vá này đều có thể dễ bị truy cập từ xa trái phép. Nếu thông tin xác thực này không được thay đổi, kẻ tấn công có quyền truy cập mạng có thể đăng nhập bằng tài khoản Administrator, leo thang đặc quyền và có khả năng xâm phạm toàn bộ cụm.
Mặc dù các image dựa trên Linux và các image được tạo bởi các nhà cung cấp khác không bị ảnh hưởng, nhưng bất kỳ cụm môi trường hỗn hợp nào có các node Windows dễ bị tổn thương đều có nguy cơ.
Xác định hệ thống bị ảnh hưởng
Các nhóm bảo mật có thể xác định phiên bản của Image Builder đang được sử dụng bằng cách kiểm tra siêu dữ liệu bản dựng (build metadata), kiểm tra thẻ phát hành (release tag), hoặc truy vấn chuỗi phiên bản của image container đang chạy.
Đối với cài đặt từ mã nguồn
Trong trường hợp cài đặt dựa trên mã nguồn, việc thực thi lệnh make version trong kho lưu trữ image-builder cục bộ sẽ hiển thị phiên bản:
make versionĐối với triển khai dạng container
Các triển khai dạng container có thể đơn giản kiểm tra thẻ image để xác nhận trạng thái dễ bị tổn thương, ví dụ:
registry.k8s.io/scl-image-builder/cluster-node-image-builder-amd64:v0.1.44Chiến lược giảm thiểu
Giải pháp khắc phục vĩnh viễn
Biện pháp giảm thiểu trực tiếp là xây dựng lại tất cả các image VM Windows bị ảnh hưởng bằng cách sử dụng Image Builder release v0.1.45 hoặc mới hơn. Phiên bản này yêu cầu chỉ định rõ ràng biến môi trường WINDOWS_ADMIN_PASSWORD hoặc tham số JSON admin_password.
Sau khi các image đã được tạo lại và triển khai, vector tấn công dựa trên thông tin xác thực mặc định sẽ bị loại bỏ và các node sẽ từ chối các bản dựng thiếu mật khẩu quản trị hợp lệ.
Biện pháp tạm thời
Các cụm không thể xây dựng lại ngay lập tức có thể tạm thời vô hiệu hóa rủi ro bằng cách đặt lại mật khẩu Administrator thủ công trên từng VM thông qua giao diện dòng lệnh tích hợp của Windows.
Thực hành bảo mật tốt nhất và khuyến nghị
Ngoài việc vá lỗi, sự cố này còn nhấn mạnh tầm quan trọng của việc luôn chỉ định thông tin xác thực mạnh mẽ và duy nhất trong quá trình tạo image tự động. Đồng thời, cần tích hợp xác thực liên tục vào các quy trình cung cấp tài nguyên (provisioning pipelines).
Các nhóm nên cân bằng giữa sự ổn định và các bản cập nhật bảo mật để tránh những sơ suất tương tự trong cấu hình mặc định.
Các tổ chức được khuyến khích xác minh kho lưu trữ image của mình, áp dụng bản phát hành builder được cập nhật và phối hợp với các nhà phản ứng bảo mật nếu phát hiện bất kỳ dấu hiệu khai thác nào.
